Vai al contenuto principale

Microsoft 365 Connector: Guida alla sicurezza

Aggiornato ieri

Che cos'è

Il Microsoft 365 Connector è un'integrazione ospitata da Anthropic che consente a Claude di accedere in modo sicuro ai servizi Microsoft 365 (Outlook, SharePoint, OneDrive, Teams) attraverso autorizzazioni delegate dall'utente. Anthropic ha completato il processo di verifica dell'editore di Microsoft, associando il nostro account verificato di Microsoft Partner Network a questa applicazione per confermare la nostra identità organizzativa.

Il connettore funziona come un proxy sicuro, e i tuoi documenti, email e file di Microsoft 365 rimangono nel tuo tenant. Il connettore recupera i dati solo su richiesta durante le query attive e non memorizza nella cache il contenuto dei file. Le credenziali sono crittografate e gestite dall'infrastruttura backend di Anthropic. Il server MCP stesso non archivia né gestisce queste credenziali. Azure SDK di Microsoft gestisce lo scambio di token On-Behalf-Of e la memorizzazione nella cache su base per-utente per accedere all'API Graph.

Restrizione dell'accesso

L'accesso può essere completamente limitato

Il connettore fornisce più livelli di controllo dell'accesso per affrontare i tuoi requisiti di sicurezza. Per informazioni dettagliate sull'amministrazione del Microsoft 365 Connector, consulta Enabling and Using the Microsoft 365 Connector.

1. Gating a livello organizzativo

L'accesso al connettore per gli utenti dei piani Team ed Enterprise richiede un processo di approvazione in due fasi. In primo luogo, i Proprietari devono abilitare esplicitamente il connettore Microsoft 365 nelle Impostazioni di amministrazione di Claude navigando su Impostazioni di amministrazione → Connettori → Sfoglia connettori → Aggiungi "Microsoft 365". Fino a quando questa approvazione non viene concessa, gli utenti non hanno accesso.

In secondo luogo, dopo che il Proprietario abilita il connettore, un Amministratore globale di Microsoft Entra deve completare l'autenticazione individuale e concedere il consenso per conto dell'intera organizzazione prima che i membri del team possano connettersi.

2. Requisito di pre-consenso dell'amministratore di Microsoft Entra

Prima che gli utenti possano accedere al connettore, un Amministratore di Microsoft Entra deve completare una configurazione una tantum, che:

  • Aggiungerà due service principal e app Enterprise in Microsoft Entra ID (M365 MCP Client e M365 MCP Server). Questo stabilisce un'identità a livello di servizio per le app Microsoft 365 Connector nel tuo tenant

  • Concederà il pre-consenso dell'amministratore per il tuo tenant Microsoft 365

  • Facoltativamente, limiterà quali utenti e gruppi di Microsoft Entra ID sono autorizzati a utilizzare il connettore

  • Facoltativamente, limiterà le autorizzazioni che il connettore è autorizzato a utilizzare per controllare selettivamente quali servizi Microsoft 365 sono accessibili

3. Revoca granulare delle autorizzazioni

Puoi disabilitare selettivamente funzionalità specifiche tramite Microsoft Entra Admin Center. Ad esempio:

Per limitare

Azione

Effetto

Tutto l'accesso

Disabilita il connettore nelle Impostazioni di amministrazione di Claude

Arresto completo

Solo SharePoint

Revoca l'autorizzazione Sites.Read.All in Entra

Blocca SharePoint

Accesso alla posta

Revoca l'autorizzazione Mail.Read in Entra

Blocca Outlook

Chat di Teams

Revoca l'autorizzazione Chat.Read in Entra

Blocca Teams

File di OneDrive

Revoca Files.Read e/o Files.Read.All

Blocca la lettura dei file da OneDrive

Le modifiche hanno effetto immediato per tutti gli utenti della tua organizzazione. Nota che gli utenti possono anche scegliere di disabilitare le funzionalità per le quali hanno l'autorizzazione durante una chat o una sessione disattivando selettivamente gli strumenti del connettore.

4. Integrazione dell'accesso condizionale di Microsoft

Il connettore supporta completamente le tue politiche Entra (Azure AD) esistenti:

  • Autenticazione a più fattori (MFA): Applica MFA per l'accesso al connettore

  • Conformità dei dispositivi: Richiedi dispositivi gestiti/conformi

  • Restrizioni IP: Limita l'autenticazione Microsoft alla rete aziendale o VPN

  • Accesso basato su gruppo: Limita a gruppi di sicurezza specifici

5. Autorizzazioni a livello di utente

  • Il Microsoft 365 Connector utilizza autorizzazioni delegate.

  • Gli utenti possono accedere solo ai dati di Microsoft 365 per i quali hanno già l'autorizzazione

  • Gli utenti possono accedere solo a siti SharePoint selezionati quando si utilizza l'autorizzazione Sites.Selected con Sites.Read.All

  • Gli utenti non possono aggirare le impostazioni di condivisione di SharePoint o le autorizzazioni delle cartelle

  • Gli utenti non possono accedere ai file privati o alle email di altri utenti

  • Le autorizzazioni delegate rispettano intrinsecamente le politiche di prevenzione della perdita di dati (DLP) di Microsoft 365

6. Gestione dei token

  • I token di aggiornamento scadono dopo 90 giorni di inattività per impostazione predefinita, richiedendo una nuova autenticazione. Questo può essere personalizzato in Microsoft Entra ID utilizzando una politica di durata del token.

  • I token di accesso in genere scadono entro 60-90 minuti secondo i valori predefiniti di Microsoft Entra ID e vengono aggiornati automaticamente

  • Gli amministratori o gli utenti possono revocare l'accesso in qualsiasi momento tramite Microsoft Entra ID

  • Il Microsoft 365 Connector non vede mai né archivia le password

Articoli correlati
Qual è il piano Team?
Utilizzo di Enterprise Search
Abilitazione e utilizzo del connettore Microsoft 365
Iniziare con Claude per le Scienze della Vita
Hai ricevuto la risposta alla tua domanda?